可信時間戳構筑電子檔案安全堡壘

楊茜雅 趙勇剛

（中國聯合網絡通信集團有限公司，北京，100033）

檔案管理工作需要采取一系列措施來保證檔案的真實性、完整性、憑證性和安全性。可行的措施或方案已有多種，有的依賴于復雜的監控過程，有的依賴于繁復的信息跟蹤處理，有的只能間接認定，還有的方法雖簡便但不夠嚴密。可信時間戳服務是從國家授時中心聯合信任可信時間戳的技術原理和使用機制入手，對其在電子檔案管理中的作用和應用特點進行分析和研究，力求設計出一套可行的應用模式、便捷而又符合法規要求的方案。

中國聯合網絡通信集團有限公司（以下簡稱“中國聯通公司”）在企業數字檔案館建設過程中得出，使用可信時間戳可以構筑電子文件和電子檔案的安全堡壘。以下結合檔案管理工作實際分析介紹一下對可信時間戳的認識和應用。

1.可信時間戳及其作用

1.1 什么是可信時間戳

可信時間戳是由國家授時中心聯合信任時間戳服務中心簽發的一個能證明數據電文（各種電子文件和電子數據）在一個時間點是已經存在的、完整的、可驗證的、具備法律效力的電子憑證（以下簡稱TSA），是解決《中華人民共和國電子簽名法》中對數據電文原件形式要求的必要技術保障。中國聯通公司原本的網絡系統是按照無紙化設計的，但運行時仍需采用紙和電子并存的雙軌制，效率不能充分發揮，人力物力資源消耗很大。利用可信時間戳可以確定符合法律要求的電子文件的原件，從而使我們的辦公網絡系統產生的電子公文或業務信息系統產生的電子數據文件具有了法定的原件屬性。

1.2 可信時間戳產生原理

根據國際時間戳標準《RFC3161》，可信時間戳是將用戶的電子數據的單向散列函數，即Hash值封裝成可信時間戳請求發送到時間戳服務中心，在此基礎上綁定由國家權威時間機構保障、不可更改的時間信息并通過時間戳服務中心簽發，產生不可偽造的時間戳文件。通過電子數據及對應可信時間戳文件有效證明電子數據的完整性及產生時間，具體流程見圖1。可信時間戳在申請、簽發和檢驗過程中可以不傳遞和顯露原件，因此對電子文件的安全和保密十分有利。這對解決我公司信息系統中涉及的敏感信息和業務數據的安全問題很有益處。

1.3 可信時間戳的法律效力

圖1 可信時間戳產生原理

可信時間戳由國家法定時間機構，即國家授時中心建設的時間戳服務中心簽發，以國家授時中心在時間上的法定地位來保障其簽發的時間戳能證明數據電文存在的時間和內容的完整。區別于用戶自建時間戳系統或其他機構產生的時間戳，這些時間戳，因其存在時間被篡改或重新簽發時間戳等可能性，會導致法律瑕疵。數據電文經過國家授時中心時間戳認證，滿足其符合《中華人民共和國電子簽名法》規定的數據電文原件形式的要求。

國家授時中心權威簽發的時間戳已經得到了司法的認可，是具有法律效力的第三方可信時間戳。中國聯通公司的網絡信息系統具備無紙功能，但由于原生電子文件的法律地位一直處于不確定狀態，所以歸檔時還須將紙質形式作為歸檔原件。可信時間戳應用為無紙化管理模式提供法律基礎，可以使公司的信息系統真正按無紙方式運行，從大幅度節約資源。

2.檔案管理工作中的時間戳應用模式

2.1 應用時間戳需要解決的問題

電子文件和電子檔案是按照一套標準規范和相關流程進行管理的，同時又依托于特定的網絡系統及各類操作人員等組成的復雜環境。因此電子文件和電子檔案管理過程中使用可信時間戳必須周密深入地進行分析研究，明確時間戳的使用要求、規律，優化整個管理流程中的時間戳作用點，申請對象的信息單元的大小（即所謂的“顆粒度”）的選取原則，以及如何按照安全管理的規定操作使用等問題。

2.2 可信時間戳應用檔案管理系統的原則和要求

2.2.1 時間戳申請認證不降低網絡及信息系統安全等級

根據網絡的安全等級，可以選擇相應的時間戳加蓋模式（參見后面多種模式的使用說明等內容），以保證安全等級不受影響。例如檔案信息網絡要求與互聯網物理隔離，則可采取將HASH值脫機申請模式進行處理。我公司可以采用可信時間戳專用服務器的方式在電子文件生成時申請時間戳，安全、及時且方便。

2.2.2 時間戳申請認證節點選擇采取“先急后全”的策略

“先急”是指把握好電子文件電子檔案管理流程中的急需的關鍵環節，如涉及部門之間管理權限的轉移點、涉及法定職責認定的簽字點、涉及憑證保證的處理環節等可以先實現時間戳管理。

“后全”是指管理流程中逐步做到應加則加，避免疏漏，從最為關鍵的環節逐步擴展至其他的節點。

可以參考的節點有：電子檔案生成、歸檔、登記、存儲備份、數據遷移、提供利用等。

目前，中國聯通公司首先選擇在電子文件生成時和歸檔移交環節辦理交接手續是申請時間戳。前一環節確定電子文件的原件，后一環節確定歸檔前后的責任且利于電子檔案的安全長久保存。

2.2.3 申請時間戳認證對象的選擇

申請時間戳認證的對象選擇為：正式登記的電子文件、備份歸檔的電子檔案、對憑證作用有要求的紙質檔案或其他傳統形式的數字化加工獲得的圖像，以及其他需要保證真實性的多種媒體形式的數字檔案。

我公司的時間戳應用對象初步確定為具有查考價值的電子公文、對法律效力要求高的電子合同、需保證準確可靠的業務數據文件等。

2.2.4 申請時間戳認證應用對象的信息單元大小選取原則

時間戳對信息單元大小原則上沒有限制，但在使用中應根據檔案管理的特點根據以下因素確定適當大小的信息單元申請時間戳認證。

選取便于歸檔保存和利用的信息單元，如關聯密切的文件組合，同一事件的案卷等；便于計算HASH值的適當大小的信息單元，如果信息單元太大，造成計算時間過長（同時驗證時間亦會過長）不利于操作，如果過小會造成認證操作過于頻繁。信息單元的數據量一般控制在100MB內為宜，最大不宜超過4.5GB。根據實際操作，100MB大小的文件HASH值獲取不超過5秒鐘，一張滿信息的DVD光盤HASH值獲取大約需數10秒鐘（取決于本地計算機處理速度），時間戳認定證書簽發能力很強時間可忽略，回傳證書的時間主要取決于網絡。

2.3 電子檔案可行的時間戳應用模式

2.3.1 實時模式

該模式是指可連接外網的時間戳申請操作模式。適用于可連接外網的檔案信息網絡，通過時間戳專用接入服務器連接至國家授時中心申請時間戳。由于采取專用服務器，只能連接時間戳中心，傳遞HASH值數據獲取時間戳證書，保證了對原文信息的嚴格保密。

2.3.2 網關、網閘（物理隔離）模式

該模式是指在物理隔離的網絡之間通過網關單向傳遞HASH值和回傳時間戳證書。適用于要求物理隔離的檔案網絡。做到在物理隔離的情況下，仍能以較高的效率完成時間戳操作。

2.3.3 脫機模式

該模式是指，將文件的HASH值下載到可脫機的保密介質上，然后通過該介質及脫離檔案網絡的專用終端設備進行時間戳認證申請，這種模式適用于要求完全物理隔離的檔案管理網絡。可采取定期、批量的申請認證方式。

中國聯通公司選擇以專用服務器為主要應用模式，即符合安全要求，又方便及時。

3.可信時間戳在檔案管理中的作用

3.1 電子檔案的真實性、原始性、完整性的保證和認定

電子檔案的真實性、原始性、完整性的保證和認定一直是較難解決的問題。普遍的方法是通過對電子文件元數據的捕獲、監控來間接地保證和認定其真實性、完整性。

這種方法有一些缺陷：一是不能直接檢驗電子文件和電子檔案本身的真實性和完整性，會產生誤差；二是繁瑣，元數據的捕獲和管理十分復雜，難免有疏漏；三是資源消耗大、成本高，為滿足電子文件真實性、完整性、可用性的要求，需采集和留存大量的元數據，而且它們會伴隨著文件和檔案的流轉像滾雪球一樣增加，加上信息屬性多樣，造成管理不易、花費很高的情況。

而采用可信時間戳，其獲取的HASH值是電子文件或電子檔案的全息計算結果。通過HASH值與其唯一對應的時間戳證書可直接驗證原文的真實性和完整性。

我們對元數據的捕獲和使用管理感覺很難把握，管理起來也很不方便。使用可信實踐戳后可以大大簡化元數據的管理。

3.2 電子檔案移交電子化

電子檔案是信息網絡的產物，對其管理亦應網絡化、電子化。目前在登記接收過程中，履行手續使用的電子簽名往往只是在本部門的系統內部有效，又由于簽名證書失效后無法認證簽名有效性及有效簽署時間可人為修改等問題，導致電子簽名不可信，所以存在對外難以被認可的法律缺陷。在這種情況下，還需在紙上簽章辦理手續，這種情況顯然與網絡化和電子化的環境不配套。

在中國聯通公司的電子文件和電子檔案管理過程中采用了可信時間戳，電子簽名不僅具有了法律認可的可信屬性，而且使得被簽署的電子文件在電子簽名失效后仍可以認定原件屬性。使得電子文件的法律地位不斷延續，同時還可以實現登記電子檔案的自動化，簡化檢驗過程、大幅度提高效率，保證移交檔案的三性的完備。

3.3 紙質檔案數字備份信息的憑證性

經常困擾人們的問題是，如何才能使紙質檔案的電子復制件能具有代替原件的憑證作用。采用可信時間戳可以破解這個問題。

采用可信時間戳后，可以使電子復制件的憑證地位提升，真實性獲得法律認可，使電子復制件具有與原件同等的法律效力。因而使得公司原有的紙質檔案的數字化復制件不僅起到信息備份的作用，而且提升其其真實性和可靠性，具有了一定的法律效力。

4.可信時間戳在檔案管理中的應用環節

可信時間戳是針對電子檔案的管理全過程中加入可信息時間戳認證的設計，從而實現對電子檔案的有效控制和維護，保障電子檔案的完整性、有效性、真實性及可用性，具體環節見圖2。

5.可信時間戳在檔案管理中應用的意義

5.1進一步嚴格控制檔案管理工作全過程

采用可信時間戳后，電子文件和電子檔案的管理和控制會更加嚴密，強化對真實性、完整性、可用性的保證。

5.2保證電子文件和電子檔案的安全性

由于可信時間戳所依據的JASH值是40個字節的單向函數，它源于原件的全部信息，但是僅通過它又不可能獲知原文的任何內容，加上合理選擇時間戳的應用模式，所以對電子文件和電子檔案的安全和保密不會有任何不良影響。

5.3保證電子文件和電子檔案的安全性

采用可信時間戳后，由于操作便捷，且電子文件和電子檔案的真實性、完整性檢驗可自動進行，所以節約系統時間消耗。初步測算，如果一份電子文件或電子檔案節約100k容量，考慮到數據的冗余、遷移、備份、長期保存過程中各種費用的累加效應等因素，中型數字檔案館可減少大量的綜合資源消耗，也使得數據的遷移量獲得壓縮，處理難度降低，會明顯減少系統的運行成本。按綜合因素進行估算每份檔案可降低的運行成本約為0.8元。考慮到時間戳本身需要少量費用，按照一般的收費方式，平均一份檔案不超過0.1元。綜合計算，采用可信時間戳產生的效益是很明顯的。同時也為無紙化管理模式提供了法律基礎，可以大幅度節約資源。

可信時間戳以國家授時中心聯合信任時間戳服務中心提供的可信時間戳服務，結合中國聯通公司檔案工作實際情況，解決電子檔案在管理管理利用過中存在電子檔案真實性、完整性、可用性、安全性及責任認定的問題，提供了一種安全、簡便、高效、經濟的檔案信息化管理手段，必將在檔案信息化行業得到廣泛應用。